ClearPass 문제 해결
이 섹션에서는 Policy Enforcer로 ClearPass 문제를 처리할 때의 일반적인 문제 해결 팁에 대해 설명합니다. ClearPass 및 ClearPass 로그 문제 해결에 대한 자세한 내용은 ClearPass 설명서를 참조하십시오.
로그 파일 보기
Policy Enforcer는 다음 형식을 사용하여 타사 플러그인 로그 정보를 씁니다 /srv/3rd-party-adapter/logs/plugin_server.log .
[<date><time>:<line number>:<function name>:<level>]<detailed message>
로그에는 세 가지 유형의 정보가 기록됩니다.
-
애플리케이션 초기화 정보입니다.
-
Heart-beat with Policy Enforcer—Policy Enforcer와 타사 플러그인 간의 통신 상태입니다.
-
애플리케이션 작업 - 타사 플러그인 기능 문제 해결.
기본 로깅 수준은 DEBUG로 설정됩니다.
다음은 하트비트 메시지 로그의 예입니다.
[07/20/2017 04:21:59 PM:_internal.py:87:_log():INFO ] 10.92.82.125 - - [20/Jul/2017 16:21:59] "GET /api/v1/adaptor/heartbeat HTTP/1.1" 200 - [07/20/2017 04:22:29 PM:produces.py:117:wrapper():DEBUG ] Jsonifing http://10.92.82.125:8082/api/v1/adaptor/heartbeat [07/20/2017 04:22:29 PM:parameter.py:90:wrapper():DEBUG ] Function Arguments: []
다음은 애플리케이션 작업 로그의 예입니다.
[07/20/2017 05:45:52 PM:default_controller.py:228:adaptor_threats_post():DEBUG ] Incoming threat POST request: {u'action': u'block', u'threatType': u'InfectedHost', u'endpoint': {u'macAddress': u'unknown', u'ip': u'192.168.140.20', u'name': u'', u'tags': []}}
[07/20/2017 05:45:52 PM:track_endpoint.py:27:__init__():INFO ] Creating new infected host tracking DB.
[07/20/2017 05:45:52 PM:clearpass_agent.py:66:getApiAuthenticationToken():DEBUG ] Get Oauth2 access token for API client
[07/20/2017 05:45:52 PM:connectionpool.py:805:_new_conn():INFO ] Starting new HTTPS connection (1): 10.92.81.112
[07/20/2017 05:45:52 PM:connectionpool.py:401:_make_request():DEBUG ] "POST /api/oauth HTTP/1.1" 200 116
[07/20/2017 05:45:52 PM:clearpass_agent.py:73:getApiAuthenticationToken():INFO ] Successful get Oauth2 access token
[07/20/2017 05:45:52 PM:thirdparty_controller.py:84:infectedHostNotif():DEBUG ] Validating endpoint [192.168.140.20] against Clearpass Endpoint DB
[07/20/2017 05:45:52 PM:clearpass_agent.py:80:getEndpointDataByIp():DEBUG ] Getting Endpoint detail by IP Address [192.168.140.20]
...
또한 ClearPass Policy Manager 및 ClearPass Guest 내의 로그에 액세스하여 문제 해결을 지원할 수 있습니다.
-
세션 로그 확인
액세스 추적기 창에는 세션별 액세스 활동 정보가 표시됩니다. 이 활동을 보려면 ClearPass 정책 모니터 내에서 모니터링 > 액세스 추적기를 선택합니다. 그림 1을 참조하십시오.
그림 1: 세션 로그
확인
테이블에서 세션을 클릭하면 해당 세션에 대한 세부 정보가 포함된 요청 세부 정보 창이 표시됩니다. 로그 세부 정보를 보려면 로그 표시를 클릭합니다. 로그 수준을 변경하여 더 많거나 적은 세션 정보를 볼 수 있습니다.
-
ClearPass에서 보고한 오류
ClearPass 애플리케이션에서 생성된 이벤트 및 메시지를 보려면 ClearPass Guest에서 관리 > 지원을 > 애플리케이션 로그 를 선택합니다. 그림 2를 참조하십시오.
그림 2: ClearPass 오류
보기
이벤트를 클릭하면 해당 오류의 가능한 원인이나 자세한 정보를 찾을 수 있는 위치를 알려주는 포인터와 같은 세부 정보를 볼 수 있습니다.
구성 문제
다음은 적절한 통신을 보장하기 위해 Policy Enforcer 타사 플러그인에 전달해야 하는 필수 ClearPass 정보입니다.
-
ClearPass IP 주소 및 포트 번호.
-
API가 액세스할 클라이언트 ID(
clientId)(ClearPass 게스트 모듈로 구성됨). -
ClearPass 서버에 대한 REST API 호출을 수행하기 위한 액세스 토큰을 가져오는 데 함께 사용되는
clientId클라이언트 비밀 키입니다.
로그 파일에 "ClearPass 구성이 누락되었습니다"라는 404 오류가 표시되면 ClearPass가 Policy Enforcer에 대해 구성되지 않은 것입니다. Policy Enforcer를 사용하여 ClearPass를 구성하는 방법에 대한 자세한 내용은 타사 플러그인에 대한 ClearPass 구성을 참조하십시오.
ClearPass가 Policy Enforcer에 대해 구성되었는지 여부를 확인하는 또 다른 방법은 파일을 찾는 /srv/3rd-party-adapter/configuration.yaml 것입니다. 이 파일이 존재하면 구성 단계가 수행된 것입니다.
오류 코드 500
로그 메시지 There are no sessions to display. You should enable Insight on at least one node in Policy Manager: Administration > Server Manager > Server Configuration 와 함께 오류 코드 500이 표시되면 구성된 ClearPass 서버에 인사이트가 활성화되어 있지 않은 것입니다. ClearPass 정책 관리자는 심층 보고 및 향상된 분석을 위해 ClearPass 인사이트를 사용합니다.
ClearPass 인사이트를 활성화하려면 ClearPass 정책 관리자에서 관리 > 서버 관리자 > 서버 구성을 선택합니다. ClearPass 서버를 클릭하고 인사이트를 활성화합니다. 그림 3을 참조하십시오.
활성화
감염된 엔드포인트를 차단할 수 없습니다.
감염된 엔드포인트를 차단할 수 없는 경우 다음 작업을 수행합니다.
-
ClearPass API Explorer를 사용하여 IP 주소의 유효성을 검사합니다. 인사이트 API, 엔드포인트 서비스를 실행한 다음 GET /insight/엔드포인트/ip/{ip}를 발행합니다.
-
ClearPass API Explorer(GuestManager API, ActiveSession 서비스)를 사용하여 해당 활성 세션의 유효성을 검사한 다음 감염된 엔드포인트의 IP 주소와 동일한 해당 "framedipaddress"를 사용하여 GET /session을 발행하고 IP와 연결된 가장 최근의 활성 세션이 먼저 표시되도록 "accstarttime"으로 정렬합니다. 현재 리턴된 활성 세션이 없는 경우, 차단할 플러그인에 전달된 IP 주소가 유효하지 않거나 존재하지 않습니다.
-
IP 주소가 유효한 경우 이전에 실행된 활성 세션 쿼리의 출력에서 얻은 엔드포인트의 API GET /엔드포인트/mac-address/{mac-address}를 사용하여 ClearPass API Explorer의 엔드포인트 API, 관리되는 엔드포인트 서비스를 사용하여 사용자 지정 속성
sdsnEpStatus이 '차단됨' 값에 적절하게 설정되었는지 확인합니다. -
사용자 지정 속성 sdsnEpStatus는 ClearPass Policy Manager의 액세스 추적기, 입력 탭의 "속성 계산" 섹션에서 해당 세션을 살펴봐도 확인할 수 있습니다.
감염된 엔드포인트를 격리할 수 없음
감염된 엔드포인트를 격리할 수 없는 경우 먼저 위의 감염된 엔드포인트를 차단할 수 없음 항목과 동일한 절차에 따라 감염된 호스트의 IP 주소를 확인합니다. 그런 다음, 사용자 정의 속성 sdsnEpStatus 의 값이 로 설정되었는지 확인합니다.quarantine
차단되거나 격리된 엔드포인트를 지울 수 없음
차단되거나 격리된 엔드포인트를 지울 수 없는 경우 일반적으로 플러그인에서 유지 관리하는 감염된 엔드포인트 추적 데이터베이스에 전달된 IP 주소가 없기 때문입니다. 감염된 호스트는 파일에 있습니다. /srv/3rd-party-adapter/infectedEndpointList 명확한 요청은 이전에 차단되거나 격리된 엔드포인트 요청에서와 동일한 엔드포인트 IP 주소와 함께 제공될 것으로 예상됩니다. 감염된 엔드포인트 추적 데이터베이스에 없는 새 IP 주소와 함께 삭제 요청이 도착하면 요청이 실패합니다.
또한 ClearPass 애플리케이션 로그에서 가능한 내부 오류를 확인합니다.